virus-informer.de: Spamta Virus schlägt wieder zu!

08.03.07 01:39 Age: 4 yrs

Spamta Virus schlägt wieder zu!

Category: Virus

By: Florin Caministeanu

40 Prozent aller verseuchten Nachrichten der vergangenen Stunden enthalten den SpamtaLoad.DO Trojaner - der wiederum lädt den Wurm Spamta.TQ herunter...

Auswertungen der PandaLabs haben ergeben, dass eine große Anzahl von E-Mails den SpamtaLoad.DO Trojaner verbreiten. In den vergangenen Stunden enthielten über 40 Prozent aller verseuchten Nachrichten im Netz den Trojaner. Das Virus SpamtaLoad.DO wird üblicherweise vom Spamta.TQ wurm begleitet.

Virus Name :
SpamtaLoad.DO

Auch gewusst als :
Trj/SpamtaLoad.DO

Dateigröße :
7,172 Bytes, komprimiert mit Unpack

Virustyp :
Trojan

Fortpflanzungsmethode :
E-Mail mit Anlage

Betroffene Systeme :
Windows 95 / 98 / Me / NT / 2000 / 2003 / XP

Risikostufe :
Medium

Folgende Merkmale weisen auf eine Nachricht mit schädlichem Inhalt hin:

Betreff:
"Error",
"Good day",
"hello",
"Mail Delivery System",
"Mail server report",
"Mail Transaction Failed",
"picture",
"Server Report",
"Status", oder "Test".

Text:
"Mail transaction failed. Partial message is available" oder
"The message contains Unicode characters and has been sent as a binary attachment".

Anhang:
Eine ausführbare Datei mit variablem Namen und zwei Extensions-, in der sich der Trojaner SpamtaLoad.DO versteckt.

Für die Datei mögliche Namen sind:
"BODY", "DATA", "DOC", "DOCS", "DOCUMENT", "FILE", "MESSAGE", "README", "TEST" oder "TEXT".

Für das erste Extension mögliche Namen sind:
"DAT", "ELM", "LOG", "MSG" oder "TXT".

Für das zweite Extension mögliche Namen sind:
"CMD", "DAT", "EXE", "PIF", "SCR".

Anzeichen einer Infektion:
wann man versucht die Anlage zu öffnen, der Trojaner zeigt entweder eine Fehlermeldung an oder er öffnet den Notepad, um eine Textdatei anzuzeigen. Die Datei lädt den Wurm Spamta.TQ auf das System, der den Trojaner an alle E-Mail Adressen versendet, die er auf dem infizierten Rechner findet.

Die folgenden Dateien Typen werden vom Wurm gelesen, um E-Mail Adressen von einem infizierten System zu ernten:
.adb,
.asp,
.cfg,
.cgi,
.dbx,
.dhtm,
.eml,
.htm,
.html,
.jsp,
.mbx,
.mdx,
.mht,
.mmf,
.msg,
.nch,
.ods,
.oft,
.php,
.pl,
.sht,
.shtm,
.stm,
.tbb,
.txt,
.uin,
.wab ,
.wsh,
.xls,
.xml.

Seit dem Anfang von März ist eine neue Variante in den Wilden gesehen, welches den Skype-Chat benutzt, um sich links zu senden.

Wann laufen, daß es die folgenden Dateien schafft:
%SysDir%\drmvndde.dll ( 143360 bytes )
%SysDir%\drmvndde.exe ( 119335 bytes )
%SysDir%\nv4_icm3.dll ( 24576 bytes )
%SysDir%\vsutxpob.dll ( 57344 bytes )
%SysDir%\kbdfnmmk.exe ( 49152 bytes )
%SysDir%\drmvndde.dat

Der folgende Registry-Key ist geschaffen, um sich als eine Dienstleistung anzumelden:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion
\winlogon\notify\drmvndde

Der folgende Registry-Key ist geschaffen, um die DLL-Datei in Frage damit zu laden bei jedes der laufenden Prozesse: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion
\windows\appinit_dlls=" nv4_icm3.dll"

Es versucht auch eine Verbindung mit dem "kedfinhderionkadesunpas.com" Website aufzunehmen.

Im vergangenen Jahr hat sich die Spamta Wurm-Familie immer wieder massiv verbreitet, zuletzt im November 2006.

Schutz

1) Windows Me und XP nutzen ein automatisch Wiederherstellung von C:\_Restore Ordner. Dies heißt, daß ein verseuchter Ordner dort als ein Sicherstellungsordner gelagert werden könnte und VirusScan unfähig sein wird, diese Ordner auszustreichen. Sie müssen das Wiederherstellung sperren, um die verseuchten Ordner vom C:\_Restore-Ordner zu entfernen.

2) Bringen Sie Ihr System und die anti-virus Programme auf den neuesten Stand, bei benutzen nur die Hersteller Webseiten.

3) Nicht öffnen Anlagen von unbekanten E-Mails.

4) Konfigurieren Ihr anti-virus Programm auch in E-Mails und Archive zu scannen.

<- Back to: virus-informer.de


	08.03.07 01:39 Age: 4 yrs Spamta Virus schlägt wieder zu! Category: Virus By: Florin Caministeanu 40 Prozent aller verseuchten Nachrichten der vergangenen Stunden enthalten den SpamtaLoad.DO Trojaner - der wiederum lädt den Wurm Spamta.TQ herunter... Auswertungen der PandaLabs haben ergeben, dass eine große Anzahl von E-Mails den SpamtaLoad.DO Trojaner verbreiten. In den vergangenen Stunden enthielten über 40 Prozent aller verseuchten Nachrichten im Netz den Trojaner. Das Virus SpamtaLoad.DO wird üblicherweise vom Spamta.TQ wurm begleitet. Virus Name : SpamtaLoad.DO Auch gewusst als : Trj/SpamtaLoad.DO Dateigröße : 7,172 Bytes, komprimiert mit Unpack Virustyp : Trojan Fortpflanzungsmethode : E-Mail mit Anlage Betroffene Systeme : Windows 95 / 98 / Me / NT / 2000 / 2003 / XP Risikostufe : Medium Folgende Merkmale weisen auf eine Nachricht mit schädlichem Inhalt hin: Betreff: "Error", "Good day", "hello", "Mail Delivery System", "Mail server report", "Mail Transaction Failed", "picture", "Server Report", "Status", oder "Test". Text: "Mail transaction failed. Partial message is available" oder "The message contains Unicode characters and has been sent as a binary attachment". Anhang: Eine ausführbare Datei mit variablem Namen und zwei Extensions-, in der sich der Trojaner SpamtaLoad.DO versteckt. Für die Datei mögliche Namen sind: "BODY", "DATA", "DOC", "DOCS", "DOCUMENT", "FILE", "MESSAGE", "README", "TEST" oder "TEXT". Für das erste Extension mögliche Namen sind: "DAT", "ELM", "LOG", "MSG" oder "TXT". Für das zweite Extension mögliche Namen sind: "CMD", "DAT", "EXE", "PIF", "SCR". Anzeichen einer Infektion: wann man versucht die Anlage zu öffnen, der Trojaner zeigt entweder eine Fehlermeldung an oder er öffnet den Notepad, um eine Textdatei anzuzeigen. Die Datei lädt den Wurm Spamta.TQ auf das System, der den Trojaner an alle E-Mail Adressen versendet, die er auf dem infizierten Rechner findet. Die folgenden Dateien Typen werden vom Wurm gelesen, um E-Mail Adressen von einem infizierten System zu ernten: .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab , .wsh, .xls, .xml. Seit dem Anfang von März ist eine neue Variante in den Wilden gesehen, welches den Skype-Chat benutzt, um sich links zu senden. Wann laufen, daß es die folgenden Dateien schafft: %SysDir%\drmvndde.dll ( 143360 bytes ) %SysDir%\drmvndde.exe ( 119335 bytes ) %SysDir%\nv4_icm3.dll ( 24576 bytes ) %SysDir%\vsutxpob.dll ( 57344 bytes ) %SysDir%\kbdfnmmk.exe ( 49152 bytes ) %SysDir%\drmvndde.dat Der folgende Registry-Key ist geschaffen, um sich als eine Dienstleistung anzumelden: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion \winlogon\notify\drmvndde Der folgende Registry-Key ist geschaffen, um die DLL-Datei in Frage damit zu laden bei jedes der laufenden Prozesse: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion \windows\appinit_dlls=" nv4_icm3.dll" Es versucht auch eine Verbindung mit dem "kedfinhderionkadesunpas.com" Website aufzunehmen. Im vergangenen Jahr hat sich die Spamta Wurm-Familie immer wieder massiv verbreitet, zuletzt im November 2006. Schutz 1) Windows Me und XP nutzen ein automatisch Wiederherstellung von C:\_Restore Ordner. Dies heißt, daß ein verseuchter Ordner dort als ein Sicherstellungsordner gelagert werden könnte und VirusScan unfähig sein wird, diese Ordner auszustreichen. Sie müssen das Wiederherstellung sperren, um die verseuchten Ordner vom C:\_Restore-Ordner zu entfernen. 2) Bringen Sie Ihr System und die anti-virus Programme auf den neuesten Stand, bei benutzen nur die Hersteller Webseiten. 3) Nicht öffnen Anlagen von unbekanten E-Mails. 4) Konfigurieren Ihr anti-virus Programm auch in E-Mails und Archive zu scannen. <- Back to: virus-informer.de
home Impressum